蚂蚁金服冯春培:支付宝面向未来网络安全的新挑战和新思路
《中国信息安全》
冯春培,2004年入职阿里巴巴,带领数据库团队奠定了阿里巴巴在国内数据库应用领域的领先地位,在支付宝领导了数据平台“登月一号”项目,推动了实时数据平台及图数据库的发展。
现任蚂蚁金服资深总监、基础安全及生态合作负责人、互联网金融身份认证联盟IFAA理事长,推动了生物识别认证在移动互联网的普及应用以及相关国家标准、国际标准的建设。在数据安全及隐私保护的时代背景下,积极推进蚂蚁金服新一代安全体系的升级和安全业务全球化的进程。
封面人物 冯春培
网络空间安全所面临的各类挑战,从未停止嬗变和演进的脚步。近年来,这种“变化”在安全策略的探索和争鸣中,甚至呈现出加速的趋势。伴随移动互联与智能物联产业的蓬勃发展,加之“业务云化”给传统产业带来的巨变,一系列面向未来安全的新挑战已经逐渐清晰起来。
物联网(IoT)时代即将到来,产业“碎片化”日益加剧,这一现象已经成为影响网络空间基础安全“首当其冲”的问题;与之相伴相生,可信能力“本地化”、安全边界“模糊化”和安全建设“生态化”等趋势相互交织、彼此作用,极大提升了网络空间安全“破局”的难度。
网络安全是国家信息安全的重要组成部分。在欧洲,GDPR的出台影响巨大;在中国,《网络安全法》和《个人信息安全规范》也陆续颁布和实施,其他相关立法也提上了日程——在这一时代背景下,大众隐私保护意识的觉醒也迫使安全建设的思路必须推陈出新。
传统概念中,实现网络安全依靠打造一副更坚硬的“盔甲”。但现实是,无论“盔甲”如何坚硬也会有缝隙,而往往这些缝隙成为达成安全目标的“阿喀琉斯之踵”。
只有将“安全能力”融入业务及其运行的“机体”中去,并成为“基础设施”一样的存在,才能为整体网络空间安全构建一个大的“底盘”。通过重构安全的“基础设施”,来应对层出不穷的威胁和挑战,是“基础安全”面向未来的重要使命,思路“升维”势在必行 。既要在飞速发展的科技进程中确保安全,又要在安全的前提下推动产业健康发展,基础安全的“技术创新”与生态联动的“格局创新”都将是迎接挑战的必由之路。
面向未来安全的新挑战和新思路
一、以通用的“可信计算能力”应对“碎片化”挑战
“碎片化”导致安全能力在终端上的落地成本高企,终端上的数据与模型被攻击的风险越大,隐私保护的难度也就越大;因此,在各类终端上,打造通用的“可信计算能力”将成为解决“碎片化”的重要举措之一。
以手机行业为例,在过去不到十年的时间里,市场快速实现了从功能机到智能机的迭代和普及。伴随这一进程,智能手机也在生物识别认证领域不断探索——包括指纹识别认证和当下的“刷脸”在内,都在回答网络空间安全的终极命题:
“我”是谁?
想要安全且真实地回答这个问题,就必须建立可信的计算能力,来应对各种冒用和篡改的威胁——这成为人类将自己与网络空间链接起来的“第一跳”,而由此展开的一切,小到个人工作生活、大到整体的网络信息安全,都与之息息相关。
早期,由于产业链碎片化的拖累,安卓业界对安全回答这个“终极命题”并不积极。直到苹果凭借强有力的产业链整合能力和相对封闭的IOS,推出指纹和人脸功能之后,整个安卓阵营才用了很长时间,基本解决了可信计算的“本地化”——尽管走上了从TEE(可信执行环境)到SE(安全芯片)的进化之路,但“碎片化”顽疾始终伴随着整个安卓产业链从“安全”向“更安全”举步维艰的迁徙。
如今,智能手机品牌只剩下可见的几家,产业链似乎变得更加集中了;但与此同时,随着IoT产业的发展,形形色色的设备,包括智能门锁、智能家居、甚至智能汽车等等新产品都切入了IoT这条“新轨道”——曾考问过手机行业的“碎片化”问题正在重演甚至升级。
然而,这些新晋IoT领域的“传统行业”,以前和网络安全并没有太大关系,基础安全的底子也很薄。所以,当这种越来越广泛的“万物互联”建立起来时,安全问题将变得更加突出——一个比手机更加碎片化且身形庞杂的产业正在市场中“野蛮生长”;而在安全性上,我们甚至还不知道拿什么去认知和描述它。
在这一背景下,打造适配各类终端的“通用可信计算能力”将变得十分必要。
比如,在智能终端的最底层,可以研发一种超轻量级的安全操作系统,以便放入各种智能设备:所有涉及用户隐私的信息以及核心应用,都可以在这个专门且可靠的存储计算环境中运行,并最终实现“安全地”回答所有关于“我是谁”的问题。
以支付宝的快捷支付为例,如果我们将它的本质理解成“用户把银行卡植入到了手机里”,那么随着“通用可信计算能力”的提升,未来IoT智能设备里存放的,就不仅仅是银行卡了,更有可能是开各种门的钥匙,甚至是身份证等。
目前,蚂蚁金服正在和产业生态展开合作,推动相关技术创新尽快落地。同时,我们也在计划将这一能力反哺能到产业生态中,使其成为真正意义上的“跨终端可信计算能力”。
二、安全边界“模糊化”要求防护能力“如影随形”
从技术发展的整体趋势上看,数据、应用、计算?甚至业务本身,都在“云化”的过程中动态迁移,而基于“物理边界”的传统防护体系无法在动态中实现有效的“以动制变”,这就要求一种无处不在的防护能力“如影随形”。
如今,用户不局限于单一场景和单一设备与互联网连接,可以随时随地接入服务;应用也因“云计算”技术的发展,纷纷实现了混合部署、服务热迁移?因此,传统的“物理边界防护”在应对这种变化时显得捉襟见肘。
基础安全有个概念叫作“颗粒度”,以前我们会以“网络域”为它的单位,后来我们又以“服务器”为单位?到了今天,我们可能要在应用层面来衡量它的存在。
那么,如何构建可跟随最小业务颗粒度的“逻辑边界”,成为基础安全必将面对的另一大挑战。在“业务云化”的同时,建立无处不在的鉴权能力,进而实施动态跟随和统一管控,是应对“边界模糊化”的有效策略。
要实现这种“如影随形”的安全防护,就需要将访问控制上移至业务单元中,无论“云化”的业务如何迁移,具备安全能力的控制中心将作为“基础设施”,始终对业务的访问请求进行管控和追踪。细粒度的管控和追踪能力给了安全防护者更深入了解业务运转状况的机会,传统基于边界镜像或汇聚点的流量采集的盲区得以克服,细粒度的“东西向”流量状态描绘和异常检测成为可能。
更重要的是,凭借对业务访问请求的管控和追踪,用户身份的“如影随形”也能够通过“服务间调用”得以实现。正如上文提到的,通用的“可信计算能力”打通了物理世界人与设备关联的“第一跳”,但在随后的业务访问中,往往是接受用户请求的业务来代表用户进行数据访问,存储敏感数据的服务并不知晓此次请求是来自某个数据的所有者还是某个暗藏恶意的身份发起。而用户身份的“透传”使得“这一跳”得以延伸,使得提供数据的服务可以知道究竟是哪个“物理人”发起了数据请求,作为是否同意数据访问的依据。
三、攻守环境“进化”下的“智能感知处置能力”
外部攻击速度更快、手法更隐蔽;人工处置的“手动安全”无法跟上业务推陈出新的速度;全球化的业务布局也使防控半径不断扩大?从趋势上判断,“智能感知”和“自动化处置”必然是基础安全能力进化的一大方向。
“安全”是蚂蚁金服整体战略“BASIC”的一部分,即“S”(Security)。其中包括两大方向:一是“业务安全”,主要围绕风控展开;另一个则是“基础安全”,它跟传统的网络安全更加接近。而在传统的网络安全领域,整个行业的技术进展事实上并不是很大。业内经常谈论的仍是安全高手这类话题,例如黑客与白帽子之间的“博弈”,强调的是某一点上的“攻防”;相比之下,很少会有人去谈论“业务安全”中某个高手能将“风控”做得如何之好。
这是因为前者做“网络安全”的本质是解决局部的安全问题;而后者凭借的却是庞大的技术支撑体系和数据分析能力——“风控”是全方位、立体的,不仅各环节之间需要联动,而且整个体系都讲求“智能化”和“自动化”的处置能力。
从这个角度看,蚂蚁金服的“业务安全”,即“风控”本身已经实现了不依赖于某个或某些安全高手“侠客”般的存在了。如今,凭借蚂蚁金服在风控领域内的丰厚积淀,我们正在将“智能化”和“自动化”的能力向基础安全领域迁移。要实现这种基础安全能力上的“进化”甚至“跃迁”,首先要面对的是在“亿级QPS”这个量级上的海量异构数据的挑战。经过历年“双11”的洗礼,蚂蚁金服已经具备了在高可用基础设施支撑下的计算能力。
2018年9月,在杭州云栖大会的ATEC主论坛,蚂蚁金服现场模拟“剪断”了支付宝近一半服务器的光缆,结果只过了26秒,模拟环境中的支付宝就完全恢复了正常。这个被外界称作“史上最大胆” 的技术演习,充分说明了蚂蚁金服在工程技术方面已经具备了丰厚的积淀。
蚂蚁金服的基础安全部门每天处理的日志量超过了万亿条——如果所有的响应和处置都需要人工干预的话,这份工作几乎无法完成。虽然我们已经初步具备了一定的自动化处置能力,但面向未来,这还远远不够。
我们正在考虑通过机器来模拟“安全高手”对这些日志做出的威胁判断。这对机器的“智能化”要求是非常高的,打个比方,难度就类似于神枪手打1亿次靶,需要枪枪10环。
目前,蚂蚁金服已经构建了一个“智能平台”,囊括了一系列的人工智能技术,包括强化学习、无监督学习、图推理、共享学习等等。我们正在通过这个智能平台,对基础安全进行升级——除了“事前防护”,在“事中、事后”的处置能力上也展开了大量探索,逐步实现“实时化、智能化、标准化、产品化”的安全联动。
这样做的目标是建立起面向全球业务的“智能感知处置中心”,即全球的联防联控网络。为了达成这个目标,我们始终需要顶尖研究型人才的加入,造就更多从事于基础安全工程化防御及攻守体系的团队;与此同时,我们也需要逐渐将“人”的能力进行提取,开展“智能化”小样本集下的机器学习训练,我将它概括为“把人的经验转变成系统的能力”,支撑基础安全这次难得的进化机遇。
四、共建能力 共担使命 才能共享“生态安全”
“全球化+数字经济”的浪潮使我们史无前例地与这个世界相连,如果“人员+软硬件+业务+数据”都不是你的,那么,又该怎么保证你和合作方的安全?独善其身的安全能力建设早已失灵,“生态安全”的格局创新才是可持续发展的安全观。
让我们闭上眼睛想象一下,纵向以产业链为“经度线”,横向以合作方为“纬度线”,编织出一个可能无限延展的生态。在这个生态中,任何一个环节出了安全问题,都将与身处这张大网的每一个“我”有关。
在全球化业务拓展和科技能力输出时,必然会遇到海外不同监管环境下本地产业整齐度和安全能力参差不齐等问题。比如,蚂蚁金服的确有很强的风控能力,但并不代表就能直接在东南亚市场简单复制这些能力。
有一个比喻很能说明问题:蚂蚁金服生产的“法拉利”,很难直接在东南亚的“山地”风驰电掣——后者有自己独特的生态环境和产业链。如果在这样的生态中能够做到高安全标准的只有寥寥少数几家,那么市场就有可能出现“逆淘汰”的现象。这种现象对产业的发展是极为不利的——比如,你有非常严格的数据安全保护机制,却很可能恰恰因此而失去了业务。
在这个背景下,就需要我们更加重视并积极参与制定行业标准、国家标准甚至国际标准。蚂蚁金服通过实践证明了,“标准化”是推动整个生态一起向“更安全”进化的有效手段,而生态建设是“标准化”的前提条件。“生态安全能力”有大有小,平台越大,能力越强,同时在生态中需要面对的安全挑战也就越大,安全责任也就越大。这一切,涉及的也是安全的“物理边界”日趋模糊后,如何与他人“共建能力、共享安全、共担使命”的问题。这既需要产业链的协同,也需要网络安全志愿者和安全公司的参与,还需要促进例如产学研的合作等等。
从2015年起,蚂蚁金服首倡发起并持续支持了IFAA(互联网金融身份认证联盟),凝聚“全产业链”的优势协同,通过联盟“标准化”建设,助力国家标准和国际标准的制定,提升以“生物特征识别及身份认证”为核心的“金融级”安全能力;
2016年,蚂蚁金服开始通过“安全响应中心SRC”汇集公司内外各种安全力量,联手排查安全风险并做出有效的行动,不仅旨在守护蚂蚁金服目前10亿用户和百万商户的安全,还通过“安全服务平台”为生态伙伴提供安全评估等全方位服务;
从2017年起,蚂蚁金服持续投入“安全专项科研基金”,支持网络空间安全领域的全球顶尖学者及研究机构,一同探索现有的或者未来可能会出现的安全课题,培养相关研究型人才;
2018年,蚂蚁金服又发起成立了“数据安全与隐私保障联盟”,一方面为生态合作方提供个人信息保护、数据安全标准方面的培训以“凝聚共识”;另一方面,将蚂蚁金服自身的安全能力产品化输出,在成体系地协助合作伙伴提升安全能力的同时,提高相关行业个人信息保护的“水位”。
五、写在尾声的一点思考
在一系列基础安全与生态合作的实践中,我们愈发强烈地感受到一种“认知升级”——即基础安全不仅是自身问题,更是一个生态的问题——从“安全性”和“安全感”两个维度看,二者虽互相关联却不等价。
冯春培和他的基础安全及生态团队
对于用户而言,他们更强调“安全感”,对于“安全性”等技术层面的问题,用户不懂,也不用懂;而对于监管者来说,首先是没有“安全感”,也绝不能停留在谈论“安全感”的层面——因为监管者必须用“安全性”指标来考量安全大局,将“安全性”规范在一个标准化且可度量的体系内。
对于安全领域的其他参与者而言,关键的问题在于,这个衡量“安全性”的严格范畴是不是合理,终究还是要回到市场端去落地检验——这就涉及到发展和安全之间的平衡问题。所以,回到安全问题本身,多元化“视角”的思考也就变得至关重要了。
从蚂蚁金服的角度看,需要持续不断地在“安全性”上立足务实、保持前瞻并做出足够多的努力。同时,仅凭几家企业的努力还远远不够,我们还需要紧密配合监管,从一个更高的视角去了解整个生态的观点、市场的原力,由此为有关安全的思考和战略布局做出新的贡献。
任何一项新事物或新技术,从被接纳到广泛普及,“安全感”与“安全性”从来都不是同步产生的。比如银行、再比如火车,诞生之初也曾面对社会信任问题,但经过了数百年的发展,这种信任在今天已经非常牢固。这样的历史必然,一定会在网络信息产业大发展的当下加速前行。
我们相信,在监管部门的指导和安全同行的共同努力下,通过市场机制和社会共治的模式推动,社会大众的安全感与我们确保安全性的能力,一定会在智能物联时代快速、全面地建立起来。